CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.14)
A data race vulnerability was found in the Linux kernel around the sk->sk_data_ready and sk->sk_write_space pointers. The skmsg layer (and possibly others) modifies these pointers while other CPUs may read them concurrently, leading to undefined behavior.
W jądrze Linuxa zidentyfikowano podatność związaną z błędami w kolejce socketów Bluetooth. Gdy włączone jest znacznik czasu TX, pakiety mogą utknąć w kolejce błędów, co prowadzi do ich wycieku, jeśli nie zostaną odczytane przez użytkownika lub kontroler zostanie niespodziewanie usunięty.
W jądrze Linuxa zidentyfikowano i naprawiono podatność związaną z wyciekiem pamięci struktury cred w funkcji nfsd_nl_threads_set_doit(). Problem polegał na tym, że referencja do cred była przekazywana, ale nie była odpowiednio zwalniana, co prowadziło do wycieku pamięci.
W jądrze Linuxa zidentyfikowano podatność, która prowadzi do zakleszczenia podczas wstrzymywania i wznawiania aplikacji. Problem występuje, gdy aplikacja wydaje zapytanie IOCTL w trakcie automatycznego wstrzymywania, co prowadzi do blokady zasobów.
CVE-2026-32642 describes an incorrect authorization vulnerability in Apache Artemis and Apache ActiveMQ Artemis, allowing an authenticated user with 'createDurableQueue' permission to create a non-durable JMS subscription on a non-existent address, despite lacking 'createAddress' permission. Consequently, a temporary address is created, which should not occur.
A Cross-Site Scripting (XSS) vulnerability in Znuny::ITSM 6.5.x in the customer.pl endpoint via the OTRSCustomerInterface parameter allows an attacker to inject malicious scripts.
A vulnerability in the BFD library of GNU Binutils fails to validate relocation type values when processing crafted XCOFF object files, leading to out-of-bounds memory reads. This can cause tool crashes or limited memory disclosure.
Versions of the jsrsasign package before 11.1.1 are vulnerable to division by zero, potentially leading to incorrect RSA public-key operations. An attacker can force these operations to return predetermined zero outputs, hiding 'invalid key' errors.
Nhost to otwarte źródło alternatywy dla Firebase z GraphQL. Przed wersją 0.12.0, obsługa przesyłania plików w usłudze przechowywania ufała nagłówkowi Content-Type dostarczonemu przez klienta, nie wykonując detekcji typu MIME po stronie serwera. To pozwalało atakującemu na przesyłanie plików z dowolnym typem MIME, omijając wszelkie ograniczenia oparte na typie MIME skonfigurowane na zasobnikach przechowywania.
An XSS vulnerability in SyncFusion 30.1.37 allows injection of malicious JavaScript code via the Document-Editor reply to comment field and the Chat-UI chat message.
A cross-site scripting (XSS) vulnerability has been reported to affect QuFTP Service. A remote attacker with an administrator account can exploit this vulnerability to bypass security mechanisms or read application data.
Deserialization of Untrusted Data vulnerability in TotalSuite TotalContest Lite allows Object Injection. This issue affects TotalContest Lite from n/a through 2.9.1.
W jądrze systemu Linux rozwiązano problem z niespójnością flagi IS_CHECKPOINTED, który występował podczas równoczesnych operacji zapisu atomowego i checkpointu w systemie plików F2FS. Problem objawiał się błędem -EINVAL podczas montowania F2FS w określonych warunkach wielowątkowych.
W jądrze systemu Linux zidentyfikowano podatność w kodzie arbitrażu RIVA NV3, która może prowadzić do błędu dzielenia przez zero. Atakujący może skonstruować złośliwe urządzenie, które ustawia parametr state->mclk_khz na zero, co powoduje awarię jądra podczas obliczeń związanych z arbitrażem.
W jądrze systemu Linux zidentyfikowano podatność związaną z brakiem odpowiedniej ochrony RCU w funkcjach ptype_seq_next() i ptype_seq_show(). Problem polega na tym, że ptype_seq_show() odczytuje nazwę urządzenia bez odpowiednich barier, co może prowadzić do naruszenia zasad RCU.
W jądrze systemu Linux zidentyfikowano podatność związaną z błędnym założeniem dotyczącym flagi `encapsulation` w etapie zakończenia GRO dla UDP. W niektórych scenariuszach, funkcja udp4_gro_complete() używa niewłaściwego przesunięcia sieciowego, co prowadzi do błędów walidacji sumy kontrolnej podczas przetwarzania pakietów.
W jądrze Linuxa rozwiązano podatność związaną z makrami xchk_xfile_*_descr, które wywołują funkcję kasprintf. Funkcja ta może nie przydzielić pamięci, jeśli sformatowany ciąg przekracza 16 bajtów, co może prowadzić do błędów.
A Cross-Site Scripting (XSS) vulnerability exists in the web-based configuration interface of Zucchetti Axess access control devices (models XA4, X3/X3BIO, X4, X7, XIO / i-door / i-door+). The issue is caused by improper sanitization of user-supplied input in the dirBrowse parameter of the /file_manager.cgi endpoint.
A vulnerability has been identified in the Linux kernel regarding TCP source port leakage via a SYN cookie side-channel. A fix has been implemented that brings back TCP ports to the timestamp offset randomization.
A flaw was identified in Keycloak, an identity and access management solution, where it improperly follows HTTP redirects when processing certain client configuration requests. This behavior allows an attacker to trick the server into making unintended requests to internal or restricted resources.

